C
月内に
npmレジストリにおいて、開発者の認証情報を盗み出し、DDoS Botnetを構築する4つの悪意あるパッケージが検出されました
📌 一言でいうと
npmレジストリにおいて、開発者の認証情報を盗み出し、DDoS Botnetを構築する4つの悪意あるパッケージが検出されました。これらのパッケージは、既存の有名パッケージに似せた名前(タイポスクワッティング)を用いてインストールを誘導します。具体的には、Shai-Huludマルウェアのコードを流用してGitHubトークンやSSHキー、クラウド認証情報を窃取し、外部サーバーへ送信する動作が確認されています。
🔍該当判定
- JavaScript/TypeScriptを用いた自社アプリの開発を行っている
- npm(パッケージ管理ツール)を使用して外部ライブラリをインストールしている
- 開発環境で 'chalk-tempalte' や 'axios-util' という名前のパッケージを導入した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 開発環境で利用しているパッケージ名に誤字がないか再確認すること。2. 信頼できないソースからのパッケージインストールを禁止し、ロックファイルを活用して整合性を検証すること。3. 漏洩の可能性があるGitHubトークンやSSHキー、クラウド認証情報を速やかに更新・無効化すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npmにおける悪意あるパッケージ(サプライチェーン攻撃)への対応について
お疲れさまです。npmレジストリで検出された悪意あるパッケージに関する情報共有です。
■ 概要
有名パッケージに似せた名前(タイポスクワッティング)を用いて、開発者の認証情報(GitHubトークン、SSHキー、クラウド認証情報等)を窃取し、さらに感染端末をDDoS Botnetに組み込む攻撃が確認されています。Shai-Huludマルウェアのコードが流用されているのが特徴です。
■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- 特に以下のパッケージ名に類似したものを誤インストールしたケース
- chalk-tempalte
- @deadcode09284814/axios-util
- axois-utils
■ 対応手順
1. プロジェクトの package.json および package-lock.json を確認し、不審なパッケージが含まれていないか点検してください。
2. 開発者が利用している環境で、意図しない外部通信や認証情報の不自然な利用がないかログを確認してください。
3. 万が一インストールが確認された場合は、直ちに認証情報(APIキー、SSHキー等)をリセットしてください。
■ 参考情報
- ThaiCERT アドバイザリ
対応優先度: 高
対応期限: 速やかに
お疲れさまです。npmレジストリで検出された悪意あるパッケージに関する情報共有です。
■ 概要
有名パッケージに似せた名前(タイポスクワッティング)を用いて、開発者の認証情報(GitHubトークン、SSHキー、クラウド認証情報等)を窃取し、さらに感染端末をDDoS Botnetに組み込む攻撃が確認されています。Shai-Huludマルウェアのコードが流用されているのが特徴です。
■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- 特に以下のパッケージ名に類似したものを誤インストールしたケース
- chalk-tempalte
- @deadcode09284814/axios-util
- axois-utils
■ 対応手順
1. プロジェクトの package.json および package-lock.json を確認し、不審なパッケージが含まれていないか点検してください。
2. 開発者が利用している環境で、意図しない外部通信や認証情報の不自然な利用がないかログを確認してください。
3. 万が一インストールが確認された場合は、直ちに認証情報(APIキー、SSHキー等)をリセットしてください。
■ 参考情報
- ThaiCERT アドバイザリ
対応優先度: 高
対応期限: 速やかに
Subject: [Alert] Malicious npm Packages targeting Developer Credentials
Dear IT/Security Team,
We are sharing information regarding a supply chain attack involving malicious npm packages.
■ Overview
Attackers have published malicious packages using typosquatting to trick developers. These packages steal sensitive data (GitHub tokens, SSH keys, cloud credentials) and recruit infected machines into a DDoS botnet, utilizing modified Shai-Hulud malware code.
■ Scope
- Development environments utilizing npm packages.
- Specifically, those who may have accidentally installed packages such as:
- chalk-tempalte
- @deadcode09284814/axios-util
- axois-utils
■ Mitigation Steps
1. Audit package.json and package-lock.json files for any suspicious or misspelled package names.
2. Monitor development environments for unauthorized outbound traffic or anomalous credential usage.
3. If an infection is detected, immediately rotate all compromised credentials (API keys, SSH keys, etc.).
■ Reference
- ThaiCERT Advisory
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack involving malicious npm packages.
■ Overview
Attackers have published malicious packages using typosquatting to trick developers. These packages steal sensitive data (GitHub tokens, SSH keys, cloud credentials) and recruit infected machines into a DDoS botnet, utilizing modified Shai-Hulud malware code.
■ Scope
- Development environments utilizing npm packages.
- Specifically, those who may have accidentally installed packages such as:
- chalk-tempalte
- @deadcode09284814/axios-util
- axois-utils
■ Mitigation Steps
1. Audit package.json and package-lock.json files for any suspicious or misspelled package names.
2. Monitor development environments for unauthorized outbound traffic or anomalous credential usage.
3. If an infection is detected, immediately rotate all compromised credentials (API keys, SSH keys, etc.).
■ Reference
- ThaiCERT Advisory
Priority: High
Deadline: Immediate